Por Paola Carrillo / @Pao_cvi

Ilustraciones: Lorena Muñoz.

¿Recuerdas las aglomeraciones en el centro histórico de Guayaquil, a finales de julio del 2024? Todas esas personas esperaban a que representantes de WorldCoin les escaneen los ojos a cambio de dinero.

WorldCoin, la empresa internacional cofundada por Sam Altman, creador de Chat GPT, llegó al país envuelta en cuestionamientos legales. ¿Es lo que hacen legal o no? Esa fue la pregunta que resonó.

La Agencia de Regulación de Telecomunicaciones (Arcotel) y el Banco Central lanzaron advertencias a la ciudadanía. El 1 de agosto, la oficina de WorldCoin, que apenas días antes aparecía en las noticias repleta de gente, fue clausurada por falta de permisos municipales.

Entre el caos, Reality UPS, empresa aliada de WorldCoin en Ecuador, empezó a despedir personal, a solo un mes de haber comenzado operaciones. Esto lo aseguró Raúl M., un quiteño de 30 años con identidad protegida, formaba parte de la compañía. Él había sido contratado y capacitado para operar el «Orb», el aparato esférico que escanea los iris.

Según el testimonio que Raúl compartió con La Barra Espaciadora, en los últimos días de julio atendían a más de 50 personas por hora. Tras la clausura en Guayaquil, esa cifra cayó a menos de la mitad. Poco después, él y varios compañeros fueron despedidos.

El escándalo estalló y medios de todo el país lo replicaron: WorldCoin estaba comprando iris humanos en Guayaquil. Pero esta empresa no es la única que recopila datos biométricos. Corporación Favorita, dueña de Supermaxi, y el Servicio Nacional de Atención Integral a Personas Privadas de la Libertad (Snai) también lo hacen.

¿Qué son los datos biométricos?

La cara, las manos, los pies, incluso las venas tienen características únicas que nos hacen identificables. A estos patrones se les llama datos biométricos.

Según la descripción de la Ley de Protección de Datos Personales ecuatoriana, son datos relativos “a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros”.

Las huellas digitales se usaron históricamente, pero la tecnología ha avanzado. Ahora es común usar el reconocimiento facial para desbloquear los teléfonos inteligentes o verificar nuestra identidad en aplicaciones digitales que ofrecen los bancos. Incluso en Corea del Sur se está usando un escáner de las venas para identificar a las personas y China tiene ciudades controladas con cámaras de vigilancia que reconocen a las personas.

El escaneo del iris apareció como una novedad, no solo en Ecuador sino también en otros países como Kenia, España, Argentina y otros 30 países, desde el 2023. En su página web y videos introductorios que circulan en Internet WorldCoin se posiciona como una empresa que intenta “mejorar la confianza en el ambiente online y facilitar el acceso a la economía global”. Esta afirmación se repite en sus comunicados de prensa y sus voceros la usan, asegurando que la empresa no almacena ningún dato.

La Barra Espaciadora conversó con Carlos Ángel, gerente general para la región andina de Tools For Humanity, la fundación sin fines de lucro que maneja WorldCoin, como parte de un proyecto que incluye la criptomoneda y una verificación de identidad. Dijo que lo único que habilita el escaneo del iris es “un pasaporte digital válido (World ID), que comprueba tu humanidad y que, cada vez, te va a servir para conectarte a más servicios, por ejemplo, servicios de redes sociales o de contenido”.

Como una medida de prevención frente a un futuro en el que la inteligencia artificial avanza y usa programas que realizan tareas automáticas, llamados bots, Ángel dice que necesitaremos una solución que “permita distinguir entre un actor humano y un actor no humano”.

Criptomonedas a cambio de tu identidad

Como todos sabemos, WorldCoin paga a las personas que permiten el escaneo de sus iris. Pero no con dinero común, sino en su propia criptomoneda: el worldcoin. Hasta agosto del 2024, cada worldcoin se cotizaba en 1,51 dólares.

Ángel asegura que este es un “regalo de bienvenida” para los usuarios, que se almacena en una billetera virtual con la que se pueden hacer transacciones. 

Según Roberto H., quien también trabajó en una agencia de WorldCoin en Ecuador, lo “sorprendente” fue que enseguida del inicio de actividades de la empresa en Quito y Guayaquil, “varias personas ya aparecieron con letreros que decían: compro worldcoin y empezaron a hacer transacciones con la criptomoneda afuera de las oficinas”. 

Cuando comenzó a trabajar, a Roberto le aclararon que no trabajaba para WorldCoin sino para una empresa afiliada. Roberto firmó un contrato con Reality UPS, un nombre comercial que no encontramos en la Superintendencia de Compañías. 

De acuerdo con Carlos Ángel, estas empresas con las que trabaja WorldCoin en cada país “pasan por un estricto proceso de selección y capacitación para operar”.

¿Con cuántas compañías aliadas trabaja en Ecuador y qué razón social tienen para desarrollar la actividad? A esta pregunta, el vocero nos respondió que no tenía la información y que enviáramos un mail al equipo de comunicación para que nos respondiera. Lo hicimos el 22 de agosto, pero hasta la publicación de este reportaje no tuvimos contestación. 

Luis Enríquez, coordinador del Observatorio de Ciberderechos y Tecnosociedad de la Universidad Andina Simón Bolívar, compara esta actividad con el tráfico de órganos. “¿Por qué no se legaliza la venta de órganos?”, pregunta y dice que esto dejaría muy vulnerables a las personas de países en crisis económica que están buscando ingresos. 

Además, desde su experiencia como experto en derecho de tecnologías de la información, Enríquez dice que es imposible que no se guarden datos, que la tecnología necesita patrones para comparar la información, por lo cual siempre va a haber una base de datos y “alguien va a tener la llave”.

Enríquez explica que, posiblemente, lo que hace la empresa es “que no guardan los datos que te identifican directamente como persona y trata de quitar los atributos, para dejar un token”. Este token, que en español significa  “ficha”, es una “unidad de valor basada en criptografía”, o sea que está escrita en código, y que “es la puerta a todo un mundo de aplicaciones comerciales”, según se define en un artículo del blog de innovación de BBVA.

“Lo que se debería examinar en este caso es cómo la empresa está gestionando su tecnología y la evaluación de impacto en las personas”, dice Enríquez.

Ilustración: Lorena Muñoz.

Además de WorldCoin, Favorita y Snai usan datos biométricos

En Ecuador, existe una Superintendencia de Protección de Datos Personales, encabezada por Fabrizio Peralta-Díaz, quien fue posesionado en abril del 2024. La Barra Espaciadora ha conversado con él en varias ocasiones y en un artículo sobre las nuevas políticas de privacidad de Meta reiteró que la unidad técnica que debe investigar estos casos “es tan inexistente como el presupuesto necesario para poder echar a andar la institución”.

En una entrevista reciente con Fundamedios sobre escaneo de iris, Peralta-Díaz dijo que “cuando la institución empiece a andar se podrá investigar si (WorldCoin) ofrece garantías” o si está violando derechos, ante lo cual “se pueden dar medidas correctivas, entre esas suspender una determinada forma de tratamiento de datos  personales cualquiera no solo de este caso”.

WorldCoin es una empresa, domiciliada en las islas Caimán, por lo que debería “designar con un apoderado especial con residencia en el país que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales”, según el artículo 3 del Reglamento de la Ley de Protección de Datos.

Peralta-Díaz dijo en la entrevista mencionada anteriormente que ya tiene lista, en borrador, “una resolución para poner en práctica una guía técnica para el establecimiento de apoderados que representen a responsables de tratamiento de datos personales que no tienen domicilio en Ecuador”. Mientras esto se implementa, para el funcionario es importante que las personas “tengan una consciencia de privacidad para autoprotegerse” y tengan un conocimiento de lo sensibles que son los datos personales y lo que se puede hacer con ellos. 

Las Autoridades de protección de datos de Kenia, Alemania y España iniciaron investigaciones en contra de WorldCoin por casos similares y lograron suspender las actividades de la empresa en esos países por un tiempo. 

Incluso en Argentina, el Ministerio de Producción Ciencia y Tecnología de la provincia de Buenos Aires impuso una multa de 194 millones de pesos (más de 200 mil dólares) a la empresa por “cláusulas abusivas en sus contratos”. La investigación en ese país empezó a inicios del 2024, pero la resolución se emitió a finales de julio.

Para Enríquez, “hay mucha discrecionalidad” en el manejo de datos personales en Ecuador. Lo cual hace que “muchas empresas estén violando los derechos de las personas o estén en el límite de hacerlo”.

Otro caso que La Barra Espaciadora identificó fue el de la implementación de reconocimiento facial para el uso de casilleros en algunos locales de Megamaxi de la Corporación Favorita. Para dejar las pertenencias, tienes que poner tu cara frente a una pantalla que te habilita un casillero.

Por ahora, habría 6 supermercados de este grupo corporativo en los cuales funciona esta tecnología, según un empleado de Atención al Cliente, cuya identidad hemos protegido. Nos comunicamos al número telefónico de la corporación y una asesora del call center nos dijo que la única persona a la que le podíamos consultar era Paulina Sánchez, de quien no quiso decirnos el cargo ni otro detalle, solo dijo que le contactáramos por email. Le escribimos en dos ocasiones, el 15 de agosto y el 25 de agosto, pero no obtuvimos ninguna respuesta.

Según Israel Flores, abogado experto en derechos digitales del despacho Aguirre Noboa Law Firm, cuando una empresa inicia con esta recopilación de datos “tiene que hacer un ejercicio de ponderación”. “Es muy exagerado que tengas que dar tu información biométrica para abrir un casillero cuando puedes abrir con una llave o con fichas, como antes”, dice.

Para él, esta acción “sí vulnera varios derechos de la Ley de Protección de datos” como: el derecho a ser informado sobre el motivo de la recopilación de sus datos, el tiempo que los van a guardar, qué van a hacer con ellos y otros detalles. También el derecho a que dejen de usar sus datos, estipulado en el artículo 19.

La Guía de Directrices 5/2022 sobre el uso de la tecnología de reconocimiento facial, del Comité Europeo, describe las necesidades de proporcionalidad y finalidad de la recolección de datos de los ciudadanos. Por ejemplo, justifica el uso de esta tecnología en el control fronterizo automatizado “siempre que existan las garantías adecuadas, en particular la aplicación de los principios de limitación de la finalidad, calidad de los datos, transparencia y un alto nivel de seguridad”.

En Ecuador, en el 2021, el Snai implementó cámaras de seguridad con reconocimiento facial en cárceles, lo cual para Enríquez podría justificarse “por el nivel de violencia”.

La Barra Espaciadora consultó a la institución de gobierno más información sobre el número de cámaras, las cárceles en las que están y los resultados de la implementación. A través de un correo electrónico, el equipo de comunicación del Snai respondió que la información solicitada no se podía entregar porque “es de carácter sensible y está directamente vinculada con la seguridad e integridad del sistema penitenciario”, y que para acceder a ella es necesaria una autorización judicial.

Se suma a esto también la medida del gobierno de Daniel Noboa que, a través del Decreto 214, permite al ECU911 que monitoree cámaras de instituciones públicas y privadas que apunten a espacios públicos.  

El presidente firmó el decreto en marzo del 2024, pero no fue hasta el 20 de agosto que Ana María Ayala, directora del ECU911, dio un ultimátum a todas las entidades de gobierno, como municipios, ministerios, hospitales, etc., para que se integren obligatoriamente al monitoreo del sistema nacional de vigilancia. 

En una rueda de prensa, la funcionaria aclaró que en caso de no hacerlo “serán considerados centros de monitoreo clandestinos”. Esta medida no aplica para el sector privado porque para este es opcional. 

El Decreto 214 es una reforma al Decreto 988, del 29 de diciembre del 2011, que regula la implementación del Servicio Integrado de Seguridad ECU-911. Antes este era el encargado de “articular” la recepción de llamadas con el servicio de emergencias, ahora es “el organismo encargado de regular, coordinar, controlar y prestar el servicio de emergencias, videovigilancia y otras actividades”. 

Las competencias del servicio pasaron de “asistencia en emergencias” a: “visualización por videovigilancia, monitoreo de alarmas y alertas, y coordinación de recursos para respuesta a emergencias”.

Más tecnología, más responsabilidad

Margarita Yépez, directora ejecutiva de la fundación Datalat, dice que el peligro de entregar tus datos biométricos es que quienes los recopilan no los van a borrar. Y cada vez son más los lugares que te los piden: gimnasios, espacios de entretenimiento y otros. Entonces, tu información puede quedarse por mucho tiempo en manos de empresas que la pueden “utilizar para hacer muchísimas cosas buenas, como también cosas bastante delicadas y no muy buenas”.

Para ella que investiga sobre el uso de datos “hay un desconocimiento tan fuerte de lo que implica nuestra data personal y cómo beneficia a las empresas que recogen información para brindar servicios más adecuados, pero por otra parte, puede ser vendida con fines comerciales”.

Yépez, junto a Sofía Alemán, asistente de tecnología, y Susana Cadena, directora de tecnología e investigación de Datalat, desarrollan proyectos con adolescentes para que conozcan la importancia de un manejo adecuado de Internet. Según Cadena, “la Ley aún es muy abstracta para el ciudadano y eso también es generado por el tema de la brecha digital”.

Alemán dice que lo que empezó como una actividad en la que con la imagen de tu iris creaban una obra de arte, ahora se ha vinculado con economía digital, criptomonedas y pasaportes virtuales.

En Ecuador, según Yépez, por ahora “hay una desarticulación en la sociedad civil” que impide exigir, en conjunto, el cumplimiento de los derechos de la Ley de Protección de datos personales. Además, “no tenemos entidad competente, hay una falta de regulación y de claridad en la regulación. Estuvimos conversando con representantes del sector privado y nos decían que aún no comprenden la legislación y pues ahora todo depende del usuario”, dice.

En Suecia, la Autoridad de protección de datos sancionó a un colegio con 20.000 euros por usar tecnologías de reconocimiento facial para controlar la asistencia de sus estudiantes. También en España, la Agencia de Protección de Datos de ese país multó con la misma cantidad de dinero a los organizadores del Mobile World Congress de Barcelona, por instalar accesos con reconocimiento facial sin evaluación previa.

Los desafíos que enfrenta Ecuador en términos de privacidad y uso de datos quizás puedan resumirse a una frase mencionada por el Superintendente de Protección de Datos, Fabrizio Peralta-Díaz, mencionada en una entrevista “Me preocupa que el campo de acción de la Superintendencia es muy amplio y, sin recursos suficientes, es una misión cuesta arriba llevar a cabo las atribuciones y deberes que tiene».

Esto combinado con la complejidad de la tecnología actual que avanza rápidamente y que exige cada vez más mecanismos de protección como que ahora van más allá de las contraseñas y que marcan una gran diferencia porque como menciona el experto Luis Enríquez “una clave la puedes cambiar, pero para cambiarte un iris tendrías que operarte”.

Ilustración: Lorena Muñoz.
Fabrizio Peralta Díaz

WorldCoin Ecuador WorldCoin Ecuador WorldCoin Ecuador WorldCoin Ecuador WorldCoin Ecuador WorldCoin Ecuador WorldCoin Ecuador WorldCoin Ecuador

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.